（计算机系统结构专业论文）应急响应管理系统的研究与实现.pdf

k 摘要 摘要 应急响应管理系统的研究与实现 陈祖义龚俭 东南大学 随着互联网技术的不断发展，互联网络上的应用的不断增加，网络安全事件也呈现日益增长的 趋势，影响的范围和造成的损失也越来越大。安全事件相关的应急响应在网络安全体系结构中是不 可缺少的重要环节，国际上这一领域的研究和服务已经开展了十多年，中国在应急响应方面的研究 起步不久，但是已经引起了政府、教育和学术、企业等各界的密切关注。本文以华东( 北) 地区网 络中心为应用背景研究并设计了应急响应管理系统。 安全事件应急响应牵涉到大范围的动作，尽管这些动作中许多是对事件的直接响应，但是还有 许多方面涉及到处理事件的准备工作和如何使应急响应人员能够更加有效地工作。因此本文的第一 个研究内容是应急响应规程问题。毫无章法的响应动作有可能造成比事件本身更大的损失。采用系 统的、合理的和预先定义好的过程来响应安全事件是非常重要的。应急响应规程是应急响应管理系 统的重要组成部分。本文根据国际上最权威的应急响应p d c e r f 六阶段的总体框架，结合华东( 北) 地区网络中心的安全政策，和华东( 北) 地区网络中心应急响应小组的响应实践整理并规范设计了 华东( 北) 地区网络中心的应急响应规程，用以改进华东( 北) 地区网络中心应急响应小组的响应 实践工作。 通过应急响应规程可以对事件响应前，事件响应过程中和事件响应后所要作的工作有详细的认 识，应急响应规程可以指导响应人员有条不紊地响应安全事件。在事件响应过程中很多不同的响应 方式都可以达到相同的安全目标，那么该选择哪种响应方式是最合适的呢? 这就是本文的第二个研 究问题：响应决策。响应决策算法对报告来的安全事件进行决策并自动生成响应建议，管理员根据 生成的响应建议进行事件的响应。本文借鉴了基于分类的响应决策模型和w e n k el e e 的成本敏感模 型，并综合了响应决策中的一些不确定因素，比如事件报警可信度、攻击目标的安全状态和响应效 果的反馈等，提出了基于分类的效益优先的响应决策算法。该模型考虑到了事件的危害、响应的付 出雨i 响应效果的反馈，从全局考虑对安全事件选择最优的响应方式。响应效果参与响应决策中可以 火大提高响应决策的灵活性和自适应性。该模型涉及三种代价：事件残留损失代价、响应操作代价 和响应负面代价。本文给出了事件残留损失代价的具体量化方法，并将其它两种代价转换为事件损 失代价的计算，从而实现这三种类型代价的统一量化。响应决策的免疫判断筛选功能把安全事件和 攻击目标的安全状态结合起来，筛选掉攻击目标能完全免疫的安全事件，这样就大大减小了入侵检 测系统检测安全事件时忽略具体攻击目标特征所带来的负面影响。事件报警可信度参与响应决策也 可以减少入侵检测系统事件误报所带来的负面影响。 本文将所提出的响应决策算法实现于应急响应管理系统中。对响应决策算法的分析表明，该算 法综合考虑了各种因素，能够对事件进行免疫和代价判断筛选，能够对需要响应的安全事件在所有 可行的响应方式内进行响应效益排序，并选择最优的响应方式，最后生成的响应建议具有攻击目标 针对性，而且响应政策能够根据环境的变化灵活地进行调整，对响应方式和事件的分类也有着良好 的可扩展性。在系统的测试中，响应决策算法在功能上、性能上达到了预期的结果。 论文最后对未来应急响应管理系统的研究进行了展望，指出了制定详细、可行的应急响应规程 在事件应急响应j j 二作中的重要意义，指出了将专家系统应用在响应决策中的意义，指出了将复合攻 击识别和攻击预测应用在响应决策中的意义。 【关键字】安全事件，应急响应，应急响应管理系统，应急响应规程，代价，响应效益，响应决策 东南大学硕士学位论文 a b s t r a c t t h er e s e a r c ha n di m p l e m e n t a t i o no f c h e nz u y ig o n gj i a n i n ci d e n tr e s p o n s ei n f o r m a ti o ns y s t e m s o u t h e a s tu n i v e r sit y w i t ht h ec o n t i n u o u sd e v e l o p m e n to fi n t e r n e tt e c h n o l o g y ， a p p l i c a t i o n so nt h ei n t e r n e t i n c r e a s e sc e a s e l e s s l y ，a n d t h en u m b e ro fn e t w o r ks e c u r i t yi n c i d e n ta l s os h o w st h et r e n d o fa u g m e n t ，w h i c hl e a d st ot h ee x p a n s i o no fs e r i o u si n f l u e n c ea n dl o s s t h er e s d o n s eo f r e l a t e ds e c u r i t yi n c i d e n ti sa ne s s e n t i a lp a r to fn e t w o r ks e c u r i t ya r c h i t e c t u r e ， a n d i n t e r n a t i o n a lr e s e a r c h s e r v i c ei nt h i sf i e l dh a sd e v e l o p e df o rm o r et h a nt e ny e a r s a l t h o u g h t h i sw o r k i n gf i e l di sr e l a c i v e l yn e wt oc h i n a ，i th a dc a t c h e dt h ee y e s i g h to ft h eg o v e r n m e i l t ， e d u c a t i o n a c a d e m i ci n s t i t u t i o n sa n di n d u s t r i e s t h i st h e s i ss t u d i e da n dd e s i g n e da n i n c i d e n tr e s p o n s ei n f o r m a t i o ns y s t e mb a s e do nt h er e q u i r e m e n to fc e r n e te h s t e r nc h i n a ( n o r t h ) n e t w o r kc e n t e r s e c u r i t yi n c i d e n tr e s p o n s er e l a t e st om a n ya c t i o n s t h o u g hm o s to ft h e ma r et h ed i r e c t r e s p o n s e so fi n c i d e n t s ，t h e ya 1s or e l a t ew i t ht h ep r e p a r a t i o np a r to fd e a l i n gi n c i d e n t s a n dh o wt om a k ep e o p l ew o r km o r ee f f i c i e n t l y ， s oi n c i d e n tr e s p o n s er e g u l a t i o nb e c o m et h e f i r s tr e s e a r c hc o n t e n t i r r e g u l a rr e s p o n s ea c t i o n sm a yr e s u l ti nm o r es e r i o u sl o s s t h a n i n c i d e n t st h e m s e l v e s ，s oi t s v e r yi m p o r t a n tt oa d o p ts y s t e m i c ， r e a s o n a b l e ， a n d p r e d e f i n e dp r o c e s st oh a n d l es e c u r i t yi n c i d e n t s t h ep r o c e d u r eo fi n c i d e n t sr e s d o n s ei s a ni m p o r t a n tp a r to fi n c i d e n t sr e s p o n s ei n f o r m a t i o ns y s t e m t h i st h e s i sb r i n g sf o r w a r da s e to fi n c i d e n tr e s p o n s ep r o c e d u r e st h a t f i t f o r t h er e q u i r e m e n to fc e r n e tf h s t e r n c h i n a ( n o r t h ) n e t w o r kc e n t e r b a s e do nt h ew h o l ef r a m eo ft h em o s ta u t h o r i t a t i v ep d c e r fs i x p h a s e si n c i d e n tr e s p o n s ep r o c e d u r ei nt h ew o r l d ， t h ep r e d e f i n e ds e c u r i t yp o l i c i e s ， a n d t h e p r a c t i c eo fn j c e r ti nc e r n e te a s t e r nc h i n a ( n o r t h ) n e t w o r kc e n t e r t h r o u g ht h ei n c i d e n t sr e s p o n s er e g u l a t i o n ，w ec a nh a v ed e t a i l e dk n o w l e d g eo ft h ew o r k b e f o r e ，i n ，a n da f t e rt h er e s p o n s ep r o c e s s i tc a ng u i d er e l a t e dp e o p l et or e s p o n s es e c u r it y i n c i d e n t si na 1 1o r d e r l yw a y t h e nw h i c hr e s p o n s ea c t i o n sa r et h em o s ts u i t a b l eo n e si n r e s p o n s ep r o c e s s ? s ot h es e c o n dr e s e a r c ht o p i ci sr e s p o n s ed e c i s i o n r e s p o n s ed e c i s i o n a l g o r i t h mm a k e sd e c i s i o n sf o rr e p o r t e d s e c u r i t yi n c i d e n t sa n db u i l d sr e s p o n s ep r o p o s a l s ， t h e na d m i n i s t r a t o r sh a n d l et h o s ei n c i d e n t sb a s e do nt h ep r o p o s a l s t h i st h e s i sg i v e so u t ar e s p o n s ed e c i s i o nm o d e l b a s e do nc l a s s i f y i n ga n dw e n k el e e sc o s ts e n s i t i v em o d e l ， i n t e g r a t e ss o m eu n c e r t a i nf a c t o r si nr e s p o n s ed e c i s i o np r o c e s ss u c ha s ：i n c i d e n t sa l e r t c o n f i d e n c e ， s e c u r i t ys t a t eo fa t t a c k e do b j e c t s ， a n df e e d b a c ko fr e s p o n s eb e n e f i te t c ，a n d p u t sf o r w a r da no p t i m i z e dr e s p o n s ed e c i s i o na l g o r i t h mb a s e do nc l a s s i f y i n g t h jsa l g o r i th i l l c o n s i d e r st h eh a r m n e s so fi n c i d e n t s ，t h ec o s to fr e s p o n s ea n dt h ef e e d b a c ko fr e s p o n s ee f f e c t ， a n ds e l e c t st h eb e s t s 0 1 u t i o nf r o m t h ee n t i r ec o n s i d e r a t i o n w i t ht h er e s d o n s ee f f e c t i n v o l v e si nr e s p o n s ed e c i s i o n ，i tc a ng r e a t l ye n h a n c et h ea g i l i t ya n da d a p t a b i l i t yo f r e s p o n s ed e c i s i o n t h r e ec l a s s e so fc o s ta r ec o n s i d e r e d t h e ya r er e s i d u ed a m a g ec o s t ， r e s p o n s eo p e r a t i o nc o s ta n dr e s p o n s en e g a t i v ec o s t t h i st h e s i s o f f e r st h ec o n c r e t e q u a n t i f i c a t i o nm e t h o do fr e s i d u ed a m a g ec o s t ，a n dc o n v e r t st h eq u a n t i f i c a t i o no ft h eo t h e r t w oc o s t si n t od a m a g ec o s t ，s oa st ou n i f i e st h eq u a n t i f i c a t i o no fa l l t h r e ec l a s s e so f c o s t t h ei m m u n i t yj u d g m e n tf i l t e rf u n c t i o no fr e s p o n s ed e c i s i o nc a nc 6 m b i n et h es e c u r i t y s t a t eo fi n c i d e n t sw i t ht h a to fa t t a c k e do b j e c t s ， f il t e rs e c u r i t yi n c l d e n t st o t a 上上yl m m u n e f r o ma t t a c k e do b j e c t s ，w h i c hr e d u c e st h es i d ee f f e c tb r o u g h to nb yi d s sn e g l e c to fc o n c r e t e a t t a c k e do bj e c tf e a t u r e si nd e t e c t i n gs e c u r i t y i n c i d e n t s i n c i d e n ta l e r tc o n 士l d e n c e r e v o l v i n gi nr e s p o n s ed e c i s i o nc a nr e d u c et h i s s i d ee f f e c t ， t o o t h i st h e s i sr e a l i z e st h eo f f e r e dr e s p o n s ed e c i s i o na l g o r i t h mi ni n c i d e n t sr e s p o n s e i n f o r m a t i o ns y s t e m t h ea n a l y s i ss h o w st h a tt h i sa l g o r i t h mc o n s i d e r sv a r l o u st a c t o r s ， a n d c a nj u d g et h ei m m u n i t ya n dc o s to fi n ci d e n t st o m a k er e s p o n s eb e n e 士l ts e q u e n c et o ra ll f e a s i b l er e s p o n s ew a y so fs e c u r i t yi n c i d e n t st h a tn e e dr e s p o n s e ， 1 no r d e rt os eje c tt h e b e s t f i tr e s p o n s ea c t i o n s t h ep r o d u c e dr e s p o n s ep r o p o s a lh a sa t t a c k e do b j e c t sp e r t l n e n c e ， i tc a na d a d te a s i l ya c c o r d i n gt ot h ec h a n g eo fe n v i r o n m e n t ， a n d h a sg o o dp o s s l b l ll t yt o e x t e n df o rn e wr e s p o n s ea c t i o n s t h et e s t ss h o wt h a t t h i sr e s p o n s ed e c l s l o na l g o r lt n m r e a c h e dt h ee x p e c t e dr e s u l t sb o t hi nf u n c t i o n sa n dc a p a b l l l t l e s a tt h e e n do f t h et h e s i s ， w em a k ea ne x p e c t a t i o nf o r t h er e s e a r c ho ff u t u r el n c l d e n t r e s d o n s ei n f o r m a t i o ns y s t e m ， p o i n t i n go u tt h a tl o o k i n gf o rd e t a i l e d ， f e a s i b l er e s p o n s e r e g u l a t i o n si sk e yt ot h er e s p o n s ea c t i o n s f u r t h e r m o r e ， e x p e r ts y s t e mt e c h n o l o g ya n d c o m d o u n da t t a c kr e c o g n i t i o na n de a r l yw a r n i n gc o u l db ea p p l i e di nt h er e s p o n s ed e c l s l o n m a k i n gp r o c e s s 【k e y w o r d s 】s e c u r i t yi n c i d e n t ， i n c i d e n tr e s p o n s e ， i n c i d e n tr e s p o n s ei n f o r m a t i o ns y s t e m ， c o s t ，r e s p o n s eb e n e f i t ， r e s p o n s ed e c i s i o n 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使用过 的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并 表示了谢意。 研究生签名：秀虻日 期：蚍汐 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的 复印件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内 容和纸质论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可 以公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权东南大学研 究生院办理。 殇论 日期：塑竺! ! 笪 第一章绪论 1 1 引言 第一章绪论 进入2 l 世纪以来，互联网的安全面临着严峻的挑战，严重的互联网安全事件层出不穷。如2 0 0 0 年y a h o o 等网站遭到大规模拒绝服务攻击，2 0 0 1 年爆发了红色代码和尼姆达等蠕虫事件，2 0 0 2 年 全球的根域名服务器遭到大规模拒绝服务攻击，2 0 0 3 年爆发了s q l 杀手和冲击波及其变种等蠕虫 事件，2 0 0 4 年爆发了振荡波和m y d o o m 及其变种等蠕虫事件，期间还频繁发生网页篡改和黑客竞赛等 多起波及全球的大规模安全事件，这些安全事件的发生在世界范围内造成了相当严重的影响和损失。 根据c e r l w c ( 计算机紧急响应小组，协调中心) 的调查和统计显剥，这些影响和损失体现在：导 致网络阻塞、导致服务失效、导致对系统的非授权使用或者滥用、导致数据或者软件的丢失、更改 或损坏、导致巨大的经济损失、导致人们对计算机网络的不信任等。 随着网络技术和网络应用的发展，计算机网络和系统也变得越来越复杂了。计算机软件( 包括 操作系统和应用软件) 的安全缺陷往往与软件的规模和复杂性成正比。从设计、实现到维护阶段。 都留下了大量的安全漏洞。安全事件越来越普遍的一个最重要的原因就是安全漏洞的大量出现。黑 客入侵又和系统漏洞紧密相关，每一种入侵对应一个或多个系统漏洞。随着系统复杂性的增加，系 统存在漏洞也在所难免。图1 1 【l j 显示了一个新的漏洞从被发现和利用到被淘汰的过程，也就是漏洞 被利用的生命周期。横坐标表示时间，纵坐标表示该漏洞被利用的次数。刚开始时，新的漏洞被一 些有经验的入侵者发现，并且开发了利用该漏洞进行入侵的简单工具，这时该漏洞只有少数人知道 并利用。随后，这些工具被越来越多的新手使用，并且这些漏洞利用工具逐渐完善，成为自动化的、 面向大规模网络的入侵工具。然后，这些漏洞利用程序大规模蔓延，从而造成大范围内的严重危害。 最后，入侵者开始转向寻找新的漏洞。从该图可以看出，大部分的入侵是可以预防的，因为在某种 入侵活动发展为大规模并造成严重危害之前，计算机应急响应机构已经能够发现被利用的漏洞，以 及相应的入侵行为的特征和响应方法( 如图1 1 阴影部分所示) 。所以做好安全事件的防范和响应是 非常重要的，这样减少安全事件的发生，也可以降低事件带来的损失。 a u h h n h t 捌锄哪翻噜蛔一d t o d d 一。似蝴 w ；d a ；- 一 硝q 自d 捌 s c 憎l 轴口知q ，| o 赶 蚋 图1 1 漏洞被利用的生命周期 东南大学硕士学位论文 ( 2 ) 从c e r t c c 最近几年的统计数据分析可以看出，网络安全的发展呈现出以下几大趋势： 导致网络安全事件频频发生的安全漏洞越来越多。图卜2 显示了c e r t c c 从1 9 9 5 年到2 0 0 4 年期间每年公布的网络安全漏洞数目的变化情况。 5 0 0 0 4 0 0 0 籁3 0 0 0 辱 噻2 0 0 0 1 0 0 0 0 1 9 9 51 9 9 61 9 9 71 9 9 81 9 9 92 0 0 02 0 0 l2 0 0 22 0 0 32 0 0 4 年份 图1 2c e r - t c c 每年公布的漏洞数 发生的安全事件的数量在不断增加。图卜3 显示了c e r t c c 从1 9 9 0 年到2 0 0 4 年期间，每年 发布的由该机构处理的网络安全事件数量的变化，由图可见，近几年c e r t c c 处理的安全事 件数量呈现逐年急剧增长的趋势。 图1 3c e r l 化c 每年处理的安全事件数 ( 3 ) 网络攻击技术发展日新月异。入侵行为由零碎的小规模攻击发展成为大规模的、分布式攻击， 并且入侵更加具有隐蔽性和破坏性。例如，近几年的s a d m i n d 仃i s 蠕虫、c o d e r e d 蠕虫和冲 击波蠕虫等的爆发严重影响了计算机互联网的正常运行。 络入侵的速度越来越快。随着各种安全事件数量的大幅增长，蠕虫病毒蔓延 ，可以在十几分钟之内造成大面积的网络灾难，1 0 到3 0 分钟使整个互联网 能。如表1 1 和表1 2 所示1 2 1 。 2 第一章绪论 表1 1 几种蠕虫漏洞攻击周期 蠕虫病毒名称漏洞攻击周期蠕虫病毒名称漏洞攻击周期 w i t 够 4 8 小时n i m d a1 1 个月( 3 3 6 天) b l a s t 1 个月( 2 6 天) k l e z 1 3 个月 s l 锄m e r 6 个月( 1 8 5 天) b u g b e a u r 1 8 个月 表1 2 几种蠕虫病毒扩散全球所需的时间 蠕虫病毒类蠕虫病毒扩散全蠕虫病毒类型蠕虫病毒扩散全球 型球所需的时间所需的时间 s i a m m e r i o 分钟邮件病毒数天 c o d er e d 1 2 小时宏病毒数星期到数个月 k l e z2 5 小时档案型病毒数个月到数年 ( 6 )安全事件影响的范围越来越大，严重性越来越高1 3 】，如图l - 4 所示。 多个局域网 单个局域网 单个p c 1 9 9 0 s t o d a y f u t u 比 图1 4事件攻击范围和严重性的变化 问 ( 7 ) 有能力发起网络攻击的人越来越多。造成这种现象的主要原因是用来进行攻击的黑客工具越 来越多，对攻击者的技术水平要求也不断降低，使得在网络中从事各种攻击行为变得越来越 容易；攻击者可以从世界的任何地方发起扫描，然后攻击连接在i n t e m e t 上的系统。另外， 入侵者之间的相互交流变得越来越广泛，并且入侵者编写的入侵工具的功能也越来越强。 由上可见，随着计算机网络及应用的发展，针对计算机网络的各种安全事件的发生也越来越多， 影响范围和造成的损失也越来越大。网络安全问题也逐渐成为影响其发展的重要因素。对于网络安 全事件的防范和响应已经成为了一个急待解决的问题。安全相关的事件响应( i n c i d e n t i 沁s p o 璐e ) 作 为保障网络安全的重要手段在网络安全体系结构中是不可缺少的重要环节，国际上这一领域的研究 和服务已经开展了十多年，在中国目前还处在起步阶段，但是已经引起了政府、教育和学术、企业 等各界的关注，并得到了迅速的发展。 东南大学硕士学位论文 1 2 安全事件与应急响应管理系统 1 2 1 安全事件 很多文献把安全事件定义为违反安全政策的行为。由于不同的组织有不同的安全政策，因此， 对安全事件的定义也不完全相同。 所有与计算机有关的操作、行为都可以称为一个计算机事件。用形式化的描述就是一个行为、 针对某个目标、相应产生导致系统状态发生变化的结果，这就是一个计算机事件。从事件结果的角 度考虑，如果某个事件的结果影响或破坏了系统的安全性，那么这个事件就可以称为是计算机安全 事件1 。安全事件的范围很大，从事件产生的起因或用意出发，计算机安全事件可阻分为两类。如 果事件完全出于意外或者是一种无意的行为，如自然灾害、电力中断等导致的系统损坏，可以视为 一类，这类安全事件传统上称为“可持续性”或“可持续性计划”：如果事件是出于有意的、有目 的的损害系统安全性的一种行为，可以视为第二类，这类安全事件也可以称为攻击事件h 1 。本论文 讨论的安全事件主要是针对有目的、有恶意的网络攻击事件。 一个安全事件可以用图卜5 所示进行形式化描述呻1 ，攻击者利用某种工具或攻击技术，通过系统 的某个安全漏洞进入系统，对攻击目标执行非法操作，从而导致某个结果产生，影响或破坏到系统 的安全性。最后一步是整个事件达到的目的，比如是达到了政治目的还是达到了经济目的等。 图卜5 安全事件描述 安全事件是中断正常运作的程序并使系统突然陷入某种级别的危机的事件。尤其是指计算机入 侵、拒绝服务攻击、信息的内部窃取以及任何未经授权或不合法的网络活动。安全事件的特点是高 度的压力、短暂的时间和有限的资源p j 。 网络安全事件是多种多样的，攻击的来源、目的和方法都非常复杂，可以同时达到多种不同的 结果。从安全事件源数量出发，安全事件可以分为单攻击源事件和多攻击源事件( 如d d o s ) ：从安全 事件源位置出发，安全事件可以分为内部攻击事件和外部攻击事件。 1 2 2 应急响应 应急响应是信息安全领域一个新的研究分支，“应急响应”对应的英文是“i n c i d e n tr e s p o n s e ” 或者“e m e r g e n c yr e s p o n s e ”。应急响应通常是指一个组织为了应对各种安全事件的发生所做的准 备以及在事件发生后所采取的相应的补救措施和行动，从而阻止或减小事件对系统安全性带来的影 响哺1 。应急响应主要是针对有目的、有恶意的网络攻击事件。计算机网络应急响应的对象是计算机 或者网络所存储、传输、处理的信息的安全事件，事件的主体主要是来自组织内部或外部的人、计 算机病毒或蠕虫等。 从上面的定义可以看出应急响应的活动主要包括两个方面。第一、在事件发生前先做好准备， 比如风险评估，制定安全计划，安全意识的培训，以发布安全通告的方式进行的预警，以及各种防 4 第一章绪论 范措施，事件响应预案等；第二、在事件发生后采取的措施，其目的在于把事件造成的损失降到最 小。这些行动措施可能来自于人，也可能来自于系统。比如事件发生后，系统备份、病毒检测、后 门检测、清除病毒和后门、隔离系统、系统恢复、调查与追踪、入侵者取证等一系列操作。 应急响应并不是简单的诊断技巧，它需要组织内部的管理人员和技术人员共同参与，有时可能 会借助外部的资源，甚至诉诸于法律。因此，一个组织内部的应急响应是该组织中每一个人的责任。 应急响应技术的研究着重于发现入侵者的攻击行为之后，对系统应当采取什么样的措施。应急响应 主要包括理念、政策和实践三个层面的内容。 应急响应工作的基本目标是积极预防、及时发现、快速响应和确保恢复。针对大量网络安全事 件，应急响应受到了广泛关注。1 9 8 8 年1 1 月，国际性协调组织c e r t c c ( c o m p u t e re m e r g e n c y r e s d o n s et e 硼c o o r d i n a t i o nc e n t e r ) 成立，负责国际范围内的应急响应的协调工作，公布重要安 全信息并提供一定程度的技术支持。2 0 0 0 年1 0 月，我国也相应成立了c n c e r t c c 1 ，即国家计算机 网络应急处理协调中心，协调全国范围内计算机安全事件响应工作，并与国际计算机安全组织进行 交流。应急响应服务的特点是技术的复杂性与专业性，知识和经验的依赖性，事件的突发性强等， 因此需要应急响应组织间广泛的协调与合作。f i r s t ( f o r 哪o fi n c i d e n tr e s p o n s ea 1 1 ds e c u r i t y t e a m ) 是目前最大规模的一种国际协作形式。 1 2 3 应急响应管理系统 建立应急响应管理系统的目的是把网络安全事件的响应管理起来，提高应急响应服务水平。统 一管理，及时响应是应急响应管理系统的最终目标。 应急响应管理系统的关键是要部署支持系统。应急响应管理系统由预警检测模块、应急响应中 心、应急响应代理和应急响应管理四大功能模块组成如图卜6 所示。预警检测模块负责检测网络 安全，产生统一的安全事件告警：应急响应管理系统应该可以同时接收由多个安全事件报告源报告 来的安全事件。：应急响应中心负责产生安全事件应急响应策略。因为应急响应管理系统需要对安全 事件做出响应决策，但是安全事件类型多种多样，一种响应并不能对付所有的安全事件。所以需要 应急响应中心这个功能模块来产生合适的响应策略；应急响应代理负责执行响应策略，执行响应策 略可以是系统自动执行或者人工执行或者系统自动执行和人工执行相结合。应急响应管理模块功能 包括应急响应的工具集的管理、应急响应制度的管理、应急响应规程的管理和安全事件的管理等。 图l _ 6 应急响应管理系统模块 东南大学硕士学位论文 1 3 论文研究背景介绍 随着网络技术及相关技术的发展，原先采用的传统的、静态的安全保护措施已不足以抵御计算 机黑客入侵及有组织的信息手段的攻击，必须建立一种全新的安全防护及管理机制以应对日益严峻 的网络安全状况。针对信息网络的安全，不仅要构建一个良好的防御体系，还要构建良好的应急响 应体系。c e r t c c 的成立标志着信息安全由传统的静态保护手段开始转变为完善的动态防护机制。 计算机信息系统的安全是一个动态的过程，它包括制定风险评估( r i s ka n a l y s i s ) 、实施事前 的预防措施( p r e v e n t i o n ) 、实施事中的检测措施( d e t e c t i o n ) 以及事后的响应( r e s p o n s e ) 。这四 个阶段形成了一个周期，称之为以安全政策为中心的安全生命周期的p - r p d r 模型哺，如图卜7 所示。 应急 图1 7 安全生命周期的p r p d r 模型 措施 在以安全政策为中心的安全生命周期p r p d r 动态模型中，风险分析产生安全政策，安全政策 决定预防、检测和响应措施。应急响应在这个模型中不仅仅是预防和检测措施的必要补充，而且还 可以发现安全政策的漏洞，进行风险评估，修订安全政策，加强或调整预防、检测和响应措施。 从管理的层次上讲，每一个组织都应该通过风险分析而制定出完备的安全政策，并把安全政策 放在一个重要的地位。然后根据安全政策制定防御措施和检测措施。然而，事实上，目前很少有组 织能够制定完备的安全政策。甚至根本没有一份安全政策的文档，另一方面。即使具备了完备的安 全政策，随着业务的发展和变化，安全政策的更新也可能不及时。应急响应在一定程度上弥补了维 护和安全政策的不足，并且应急响应也可以及时发现这些不足，从而增强维护工作，完善安全政策。 在法律方面。越来越多的组织在遭受了攻击以后希望通过法律的手段追查肇事者。这就需要出 示收集到的数据作为证据，这就是计算机取证技术。取证过程是事件应急响应的重要环节。 华东( 北) 地区网络中心研究和开发了m o n s t e r 系统，该系统以串联方式接入网络并集成了 报文过滤、入侵检测、协同和响应等功能。但是m o n s t e r 系统的响应模块只能对检测出的简单攻 击事件进行简单的自动响应，从而达到阻止攻击的目的。响应方式包括更新防火墙访问控制规则、 更新入侵检测规则、更新报文监测模块的报文过滤规则等。自动入侵响应系统往往是一些很简单命 令而不是可以有效限制攻击行为的一系列相关动作、缺乏智能分析和自适应能力。 入侵检测系统存在漏报和误报的问题，特别是对于新出现的、隐蔽和复合的入侵。如果响应只 是简单的由i d s 触发脚本程序，将会出现严重问题。攻击事件由简单变得复杂，比如组合式攻击，协 同攻击和脚本攻击越来越多，这些事件单靠i d s 来检测和响应是远远不够的，应急响应环节不可缺少。 所以把入侵检测系统作为网络安全的最后一道防线是非常危险的。漏报的安全事件可以被安全管理 员发现，但它是需要响应的，而误报的安全事件却是不应该予以响应的，若被响应将会带来很大的 负面影响。入侵检测系统报告的很多安全事件根据当前攻击目标的安全状况可能也是不必要进行响 应的，若是这些事件响应了也会带来负面影响。复杂的安全事件可能是需要人工进行响应的，一个 安全事件可能在短时间内不能响应完成，而是需要分阶段响应的：同一类安全事件在不同的应用背 6 第一章绪论 景下响应方式有可能是不一样的。以上所列举的事件响应过程中存在的种种问题单靠m o n s t e r 的 自动响应模块是不能很好解决的。为了解决以上问题，研究和实现一个能对网络安全事件提供响应 决策支持和对应急响应过程进行管理的系统是非常必要的，通过它可以对华东( 北) 地区网络中心 的网络安全事件进行可控的管理和高效的响应，可以在很大程度上提高网络安全事件的管理和响应 的水平，减少网络安全事件的冲击，保证网络的正常运行。 是否进行了事件的响应是攻击成功与否的一个基本因素，目前大多数i d s 不支持自动响应，少 部分支持自动响应的i d s 响应效果也不够理想，都是通过简单的静态决策表来实现对事件的简单的 响应。当前，攻击方式不断智能化、自动化，静态入侵响应策略已远远不能达到要求。入侵响应策 略必须是动态的，根据实际环境、系统目标、安全政策和入侵事件类型等制定响应策略。应急响应 管理系统能够结合多方面的因素动态生成响应建议，这样可以在很大程度上弥补自动入侵响应系统 的不足。 在以上背景之下，华东( 北) 地区网络中心研究和开发了i 烈s ( i n c i d e n tr e s p o r i s ei n f o m a t i o n s y s t e m ) 系统，该系统和m o n s t e r 系统相连接可以对m o n s t e r 报告的安全事件进行响应决策，并生成响 应建议，同时还可以对管理员手工报告的安全事件进行响应决策。该系统具有以下特点： ( 1 )管理待处理的安全事件，提示处理进程和处理要求。 ( 2 ) 对待处理的事件进行代价和响应效果的评估，并生成响应建议，指导事件的响应。 ( 3 ) 提供对已处理安全事件的统计分析。 i r i s 系统以“面向大规模互联网络的信息安全保障体系研究”( 科技部社会公益专项课题) 为项 目背景。应急响应是其中的一个研究子问题。 1 4 论文研究内容 本论文以i r i s 系统为背景，对安全事件的应急响应进行研究，并给出了i r i s 系统的实现模型。 研究内容主要涉及到两个子问题： ( 1 ) 应急响应规程问题 在现实中，安全事件发生时，场面很快就会进入混乱，并且事件不是顺序发生的，安全事件比 其他任何事情的并发性更不规则，特别是对于有大量计算基础设施的庞大的组织机构更是如此。这 样，应急响应规程有助于在混乱的状态下迅速地恢复控制。任何一个好的应急响应规程能够指导响 应人员在有效、高效和负面影响最小的情况下有条不紊地处理安全事件。使用合理的响应规程意味 着就是使用经过验证的、可行的过程和程序，从而可以更为高效地处理安全事件。本论文对应急响 应规程进行了研究，并结合华东( 北) 地区网络中心的响应实践，整理并规范设计了一套适合华东 ( 北) 地区网络中心的应急响应规程，该规程可以对应急响应人员进行安全事件的响应提供一个整 体的指导。 ( 2 ) 应急响应决策问题 应急响应管理系统接收从各个事件源报告来的安全事件，安全事件经过本系统的响应决策，输 出的是安全事件的响应建议。响应决策是指对安全事件选择适当的响应方式的过程。响应建议是响 应决策的结果，它告诉管理员怎样对该事件进行响应处理。因为一个安全事件可以采用多种响应方 法来达到响应的目的。那么用什么样的响应方法最合理呢? 这就需要一个好的响应决策模型和算法。 响应决策模型的好坏将直接影响系统的性能。响应决策与很多确定的和不确定的因素相关，响应决 策不应该是静态的，应该具有一定的自适应性和攻击目标针对性。事件响应还应该以最小的代价获 得系统的安全，好的响应决策还应该结合响应的效果。为了达到这些目的，系统采用基于分类的响 应效益优先的响应决策模型，本论文对成本因素的确定和成本代价的量化、影响响应决策的不确定 因素的确定、响应决策算法和针对事件目标的响应建议的生成等问题进行了具体的研究。 7 东南大学硕士学位论文 1 5 论文组织结构 论文第章首先对网络安全事件及其发展趋势进行了介绍，强调了应急响应对保障网络安全的 重要作用：然后对安全事件，应急响应和应急响应管理系统的相关概念